Daggerfly APT Group

Một nhóm hack được nhà nước bảo trợ có liên kết với Bắc Kinh có tên Daggerfly đã nhắm mục tiêu vào các tổ chức ở Đài Loan và một tổ chức phi chính phủ (NGO) của Hoa Kỳ hoạt động tại Trung Quốc. Họ đã sử dụng một bộ công cụ phần mềm độc hại nâng cao trong các cuộc tấn công này. Chiến dịch này chỉ ra rằng nhóm cũng tiến hành hoạt động gián điệp nội bộ. Trong cuộc tấn công vào tổ chức phi chính phủ, tin tặc đã khai thác lỗ hổng trong máy chủ HTTP Apache để triển khai phần mềm độc hại MgBot của chúng.

Kho vũ khí đầy đe dọa của nhóm Daggerfly APT (Mối đe dọa liên tục nâng cao)

Daggerfly, còn được gọi là Bronze Highland và Evasive Panda, đã sử dụng khung phần mềm độc hại mô-đun MgBot cho các hoạt động thu thập thông tin tình báo nhắm vào các nhà cung cấp dịch vụ viễn thông ở Châu Phi kể từ năm 2012. Nhóm này có kỹ năng cập nhật nhanh chóng bộ công cụ của mình để đáp ứng với việc phát hiện, cho phép nó tấn công tiếp tục các hoạt động gián điệp của mình với sự gián đoạn tối thiểu.

Các cuộc tấn công mới nhất liên quan đến một họ phần mềm độc hại mới có nguồn gốc từ MgBot và phiên bản nâng cao của MACMA , một phần mềm độc hại trên macOS được xác định lần đầu tiên vào tháng 11 năm 2021. MACMA ban đầu được phát tán thông qua các cuộc tấn công Watering Hole khai thác lỗ hổng trong Safari để nhắm mục tiêu vào người dùng ở Hồng Kông.

Điều này đánh dấu sự kết nối rõ ràng đầu tiên của MACMA với một nhóm hack cụ thể, tiết lộ khả năng thu thập thông tin nhạy cảm và thực thi các lệnh tùy ý. Bằng chứng cho thấy những người tạo ra MACMA có thể đã sử dụng lại mã từ các nhà phát triển ELF/Android, có khả năng nhắm mục tiêu cả các thiết bị Android.

Sự liên kết của MACMA với Daggerfly được hỗ trợ thêm bởi sự trùng lặp trong mã nguồn với MgBot và thực tế là nó giao tiếp với máy chủ Lệnh và Kiểm soát (C2) (103.243.212.98) cũng được sử dụng bởi trình nhỏ giọt MgBot.

Các mối đe dọa phần mềm độc hại bổ sung được Daggerfly sử dụng

Một bổ sung khác cho kho vũ khí của nhóm là Nightdoor (còn được gọi là NetMM và Suzafk). Bộ cấy này tận dụng API Google Drive cho chức năng Chỉ huy và Kiểm soát (C2) và đã được sử dụng trong các cuộc tấn công Watering Hole nhắm vào người dùng Tây Tạng ít nhất là từ tháng 9 năm 2023. Hoạt động này lần đầu tiên được ghi nhận vào tháng 3.

Nhóm đã chứng tỏ khả năng phát triển các phiên bản công cụ của mình cho các hệ điều hành chính. Các nhà nghiên cứu đã quan sát thấy bằng chứng về các APK Android bị trojan hóa, các công cụ chặn SMS, các công cụ chặn yêu cầu DNS và phần mềm độc hại nhắm mục tiêu vào hệ điều hành Solaris.

Làm cách nào để bảo vệ thiết bị của bạn khỏi các mối đe dọa phần mềm độc hại?

Bảo vệ thiết bị khỏi các mối đe dọa phần mềm độc hại đòi hỏi một cách tiếp cận nhiều mặt, kết hợp công nghệ, các biện pháp thực hành tốt nhất và sự cảnh giác của người dùng. Dưới đây là những biện pháp tốt nhất mà người dùng nên thực hiện để bảo vệ thiết bị của mình:

• Cài đặt và cập nhật thường xuyên phần mềm chống phần mềm độc hại : Sử dụng phần mềm bảo mật uy tín để phát hiện và xóa phần mềm độc hại, đảm bảo phần mềm luôn cập nhật nhất có thể để bảo vệ trước các mối đe dọa mới nhất. Ngoài ra, hãy bật tính năng quét theo thời gian thực để giám sát các tệp và nội dung tải xuống khi chúng được truy cập liên tục.
• Luôn cập nhật hệ điều hành và phần mềm : Bật cập nhật tự động cho hệ điều hành, trình duyệt và ứng dụng của bạn để nhận được các bản vá bảo mật mới nhất kịp thời. Nếu không thể truy cập các bản cập nhật tự động, hãy thường xuyên kiểm tra và cài đặt chúng theo cách thủ công để duy trì tính bảo mật.
• Sử dụng tường lửa : Đảm bảo tường lửa tích hợp trên hệ điều hành của bạn đang hoạt động để chặn truy cập trái phép. Để được bảo vệ thêm, đặc biệt là trên mạng gia đình hoặc mạng doanh nghiệp, hãy cân nhắc sử dụng tường lửa phần cứng.
• Thực hành thói quen duyệt web an toàn : Tránh truy cập các trang web có vẻ không đáng tin cậy hoặc có nội dung nghi vấn. Tải xuống phần mềm từ các nguồn chính thức và uy tín, đồng thời tránh nhấp vào cửa sổ bật lên hoặc quảng cáo cung cấp tải xuống miễn phí để giảm thiểu rủi ro về phần mềm độc hại.
• Sử dụng mật khẩu mạnh và xác thực hai yếu tố (2FA) : Luôn sử dụng mật khẩu đủ mạnh cho các tài khoản khác nhau và thay đổi chúng thường xuyên. Kích hoạt 2FA để có một lớp bảo mật khác, khiến cho các hacker tiềm năng có thể truy cập trở nên phức tạp hơn.
• Hãy thận trọng với email và tệp đính kèm : Hãy cảnh giác với các email lừa đảo được thiết kế nhằm lừa bạn tiết lộ thông tin cá nhân hoặc tải xuống phần mềm độc hại. Không truy cập tệp đính kèm email hoặc nhấp vào liên kết từ các nguồn không xác định hoặc đáng ngờ.
• Thường xuyên sao lưu dữ liệu : Thường xuyên sao lưu dữ liệu quan trọng vào ổ cứng ngoài hoặc dịch vụ đám mây, đảm bảo bạn có thể khôi phục thông tin trong trường hợp bị phần mềm độc hại tấn công. Định kỳ, hãy chắc chắn rằng các bản sao lưu của bạn đã hoàn tất và có thể được khôi phục thành công.
• Sử dụng Trình chặn quảng cáo và Công cụ chống theo dõi : Cài đặt trình chặn quảng cáo để giảm nguy cơ gặp phải các quảng cáo lừa đảo. Ngoài ra, hãy sử dụng các tiện ích mở rộng của trình duyệt chặn tập lệnh theo dõi để bảo vệ dữ liệu duyệt web của bạn không bị thu thập.
• Bảo mật mạng của bạn : Thay đổi tất cả tên người dùng và mật khẩu mặc định trên bộ định tuyến và các thiết bị mạng khác. Sử dụng mã hóa mạnh (WPA3 hoặc WPA2) cho mạng Wi-Fi của bạn và tắt WPS để tăng cường bảo mật.
• Giáo dục bản thân và người khác : Luôn cập nhật về các mối đe dọa bảo mật mới nhất và các phương pháp hay nhất. Giáo dục các thành viên gia đình hoặc nhân viên về các hành vi trực tuyến an toàn và các mối đe dọa tiềm ẩn để đảm bảo mọi người đều nhận thức được và cảnh giác.

Bằng cách tích hợp các biện pháp này trên tất cả các thiết bị, người dùng có thể giảm nguy cơ lây nhiễm phần mềm độc hại và tăng cường đáng kể tính bảo mật tổng thể.